7.1. … et de leur double fondement
Nos recommandations (cf. le point 6.2.) s'appuient sur un double fondement : le principe de précaution récemment mis en exergue par l'Union Européenne et considéré par elle comme une règle coutumière de droit international(51) est le premier.
Il affirme le devoir d'agir de l'Etat lorsqu'un risque même incertain ou dont nous ignorons l'ampleur exacte menace ses citoyens.
Le principe de souveraineté "fonctionnelle" est le second fondement. Il représente "la manifestation de liberté et d’indépendance par laquelle l'Etat impose sa règle à ses nationaux et en impose le respect de la part des autres Etats"(52).
7.1.1. Le principe de précaution
"Le principe de précaution devrait aussi consolider l'approche préventive en forçant les pouvoirs publics à agir alors même qu'ils ne disposent pas de toutes les preuves justifiant le bien-fondé de leur action" écrit N. de Saedeleer(53) . L'auteur, à la suite d'une doctrine et d'une jurisprudence nombreuse, distingue ainsi la prévention de la précaution. "Alors que la certitude appelle une attitude de prévention, son incertitude requiert la précaution".
Plus précisément encore, ajoute l'auteur "la prévention consiste à prendre les mesures nécessaires à la non-survenance d'un événement prévisible ou, en tout cas, probabilisable. Elle est au cœur de toute une série de dispositions juridiques en matière d'environnement, de sécurité, de sécurité du travail notamment. La précaution consiste, quant à elle, à aller plus loin soit en multipliant, au-delà de ce que la probabilité rend nécessaire, les mesures de protection, soit en adoptant des mesures de protection à l'encontre des risques qui ne sont même pas probabilisables".
Les risques représentés aujourd'hui et demain par des systèmes de surveillance comme Echelon, sont difficilement mesurables. Ils dépendent de nombreux paramètres non connus, la puissance de cryptage, l'ampleur des moyens humains et techniques mis en place, etc. .. .
(51)
Sur ce point, le lecteur lira avec intérêt les développements consacrés à l'argumentation européenne devant l'OMC par Kowilsky et Viney dans leur rapport au premier Ministre (français) remis le 15 octobre 1999, La documentation française, p. 115 et s. : "Le principal argument des Communautés européennes est que le principe de précaution est, ou est devenu, une règle coutumière générale de droit international ou du moins un principe général du droit… Les instances européennes estiment que l'application du principe de précaution signifie qu'il n'est pas nécessaire que tous les scientifiques du monde entier soient d'accord sur la possibilité et l'ampleur du risque de la même façon… Les Etats-Unis ne considèrent pas le principe de précaution comme une règle de droit international et coutumier et ils estiment qu'il s'agit d'une "approche" plus que d'un "principe"…".
(52)
R. Wilkin, Dictionnaire du droit public, Bruxelles, Bruylant, 1963.
(53)
Sans doute, le principe de précaution est-il habituellement évoqué à propos des soucis de protéger la santé, la sécurité humaine et l'environnement(54) mais l'extension aux exigences de protection de l'information personnelle et économique véhiculées par les correspondances privées ne devraient pas poser de difficultés tant il est déjà reconnu par l'organisation mondiale du commerce que les exigences de la protection de la vie privée pouvaient, à l'instar des préoccupations sanitaires, sécuritaires et environnementales,
justifier une restriction légitime à la liberté des échanges.
L'adoption du principe de précaution aurait les conséquences suivantes soulignées par le rapport de Kowilsky-Viney au Premier Ministre français :
« Le principe de précaution définit l'attitude que doit observer toute personne qui prend une
décision concernant une activité dont on peut raisonnablement supposer qu'elle comporte un danger grave pour la santé ou la sécurité des générations actuelles ou futures, ou pour l'environnement. Il s'impose spécialement aux pouvoirs publics qui doivent faire prévaloir les impératifs de santé et de sécurité sur la liberté des échanges entre particuliers et entre Etats. Il commande de prendre toutes les dispositions permettant, pour un coût économiquement et socialement supportable, de détecter et d'évaluer le risque, de le réduire à un niveau acceptable et, si possible, de l'éliminer, d'en informer les personnes concernées et de recueillir leurs suggestions sur les mesures envisagées pour le traiter. Ce dispositif de précaution doit être proportionné à l'ampleur du risque et peut être à tout moment révisé »(55).
7.1.2. La souveraineté
La captation de messages transitant par satellites suscite des questions délicates. On sait que l'espace aérien (au-delà de 100 km) appartient au domaine public international et est affecté à l'usage commun de l'ensemble des Etats. Le droit international autorise chaque Etat à effectuer des actes d'utilisation sans distinction et sur une base d'égalité(56). La captation des transmissions se fait cependant au sol. Il s'exerce dans le cadre des actes de "souveraineté territoriale"(57) même s'il suppose une utilisation de l'espace atmosphérique et peut concerner des messages n'ayant aucun lien avec le territoire où s'effectue la captation. C'est précisément cette absence de lien potentiel entre le lieu de l'écoute et le message écouté, joint au pouvoir que donne la puissance des technologies de l'information et de la communication, de collecter et de traiter des milliers de message qui crée problème. Le Ministre de la Défense nationale lors du vote de la loi organique, mettait en évidence les périls que créaient ces technologies nouvelles: "les technologies de l'information et de la communication peuvent se muer en armes, devenir des moyens de destruction comme de dissuasion.
(54)
Ainsi, le récent débat sur les O.G.M. (sur ce point, le rapport de Kowilsky et Viney, p. 74 et s.).
(55)
Kowilsky-Viney, op. cit., p. 117.
(56)
Cf. le traité entré en vigueur le 27 janvier 1967 approuvé par l'Assemblée Générale des Nations Unies, traité sur les principes régissant les activités des Etats en matière d'exploration et d'utilisation de l'espace extra-atmosphérique y compris la Lune et autres corps célestes.
(57)
Il s'agit de la première conception de la notion de souveraineté telle qu'elle est défendue dans la célèbre affaire Lotus (décision du 7 sept. 1927, Cour Permanente de Justice internationale de la Haye publié notamment in Journal de droit
Voir les propos récents du Président Chirac à propos d'Helios: "la possibilité de voir au-delà de l'horizon est une nouvelle source de puissance géopolitique, comme l'arme atomique"(58). Bref, la captation abusive de messages par une personne étrangère risque de remettre en cause la souveraineté des Etats en tant cette fois qu'expression du principe d'indépendance de chaque Etat dans l'ordre international(59). Que devient l'indépendance d'un Etat, si les secrets de ses administrations, de son gouvernement, de ses entreprises, de ses citoyens peuvent être décryptés en des lieux inconnus au profit de puissances étrangères du seul fait qu'ils pénètrent l'espace extra atmosphérique ? L'absolue limitation des écoutes est fondamentale pour que survivent l'égalité et l'indépendance des Etats.
Enfin, la souveraineté des états n’est-elle pas remise en cause dans un autre sens encore ? L’appartenance d’un individu à un Etat lui donne le droit de bénéficier d’une protection par son Etat des garanties et libertés constitutionnelles qui lui sont octroyées(60). Ces garanties et libertés ne peuvent être remises en cause du seul fait que les technologies de l’information et de la communication abolissent les frontières physiques et que l’envoi d’un courrier électronique de Namur à Bruxelles peut transiter par les Etats-Unis, au seul gré des réseaux et sans que l’utilisateur n’en soit ni conscient, ni averti. C’est sur base de telles considérations et au nom des valeurs essentielles que représente la défense des libertés des citoyens européens que la directive 95/46 relative à la protection des données interdit les flux vers les pays ne présentant pas un régime de protection adéquat.(61)
(58)
Projet de loi organique, Exposé du Ministre de la Défense nationale, in Rapport fait au nom des Commission réunies de la Justice et des Affaires étrangères; Séance 9/7/98, Doc. Sénat 1.758/10, p. 7.
(59)
A ce propos, la réflexion de R. de Bottini, Souveraineté et conflits de lois, in La Souveraineté au 20e siècle, Armand Colin (éd.), 1971, p. 145: « La raison de cette opposition tient sans doute à l'ambiguïté de la notion de souveraineté,
susceptible en l'espèce de recouvrir deux acceptions bien différentes. On peut y voir d'abord le principe d'une délimitation souveraine des compétences législatives de chaque Etat; elle permettrait de fixer unilatéralement dans le domaine spatial les frontières que chaque loi peut avoir par opposition à toutes les autres lois nationales. Mais on peut aussi faire appel à cette notion de souveraineté dans un sens plus banal, selon lequel elle ne serait alors que l'expression du principe d'indépendance de chaque Etat dans l'ordre international. »
(60) " Il est vrai qu'il faut éviter toute pétition de principe et ne pas légitimer tout transfert, d'un point de vue constitutionnel, par le seul fait qu'il résulte d'un accord international en bonne et due forme. Il y a des limites objectives et des garanties nécessaires.
La première est qu'on ne peut transférer plus de pouvoir qu'on n'en a. La souveraineté nationale belge est limitée par les droits individuels. Il serait impossible de consentir par traité à des organes supranationaux, des pouvoirs qui limitent ces libertés" (P. Vigny, Propos institutionnels, Bruxelles, Bruylant, 1963, p. 117).
(61)
L’article 25 est commenté comme suit dans les considérants de la Directive : (56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; que la protection des personnes garantie dans la Communauté par la présente directive ne s'oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; que le caractère adéquat du niveau de protection offert par un pays tiers doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;
(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;
A propos de cet article, et en particulier de la notion de protection adéquate, lire Y .Poullet, B. Havelange « Preparation of a methodology for evaluating the adequacy of the level of protection of individuals with regards to the processing of personal data, European Commission, Annex to the annual report 1998 (XV D/5047/98) of the working party established by art 29 of the Directive 95/46/EC, DG XV, 1998
En conclusion, la souveraineté étatique apparaît alors comme une obligation mise à charge de l’Etat de garantir dans le cyberespace le respect des libertés individuelles de ses citoyens. Comme le note Wilkin(62), « la souveraineté est une manifestation de liberté et
d’indépendance par laquelle l’Etat impose la règle à ses nationaux et en exige le respect de la part des autres Etats. L’Etat dicte la volonté commune qu’il fait prévaloir contre les volontés particulières : il exprime à l’égard des nationaux et de l’étranger la souveraineté de la Belgique et veille à son respect. Vis-à-vis des autres Etats, la souveraineté est une manifestation d’indépendance ;…La souveraineté de l’Etat n’est pas en soi un point d’aboutissement ; elle est le moyen, pour les pouvoirs établis de pourvoir aux besoins des nationaux et d’assurer à ceux-ci et aux étrangers le libre exercice de leurs droits ; ».
7.2. Le chiffrement
Tout chiffrement induit des coûts liés au choix de l’algorithme de chiffrement, à sa distribution, à la génération de clés sécurisées et au chiffrement/déchiffrement lui-même qui implique du temps de calcul et donc une lenteur dans la circulation de l’information. Même si un cryptage fort, combiné à l’utilisation de fibres optiques à chiffrement quantique, semble la voie royale menant à une sécurisation maximale des données, une telle solution ralentirait fortement le réseau et n’est pas envisageable partout dans le monde. Par ailleurs son coût risque d’être particulièrement élevé.
S’il incombe à l’opérateur de télécommunication de garantir la confidentialité des télécommunications, cette obligation générale est à mettre en balance avec l’état de la technique, le coût des solutions envisagées ainsi que la nature des informations à protéger. Par ailleurs, sous certaines conditions, l’opérateur de télécommunication doit pouvoir permettre le déchiffrement des messages aux services autorisés.
7.3. L’agréation des appareils terminaux
La directive 1999/5/CE du Parlement européen et du Conseil, du 9 mars 1999, concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité définit comme (art. 2 (b)) "équipement terminal de télécommunications", un produit permettant la communication, ou un composant pertinent d'un produit, destiné à être connecté directement ou indirectement par un quelconque moyen à des interfaces de réseaux publics de télécommunications. Un simple programme de navigation ou de courrier électronique ou encore un routeur peuvent donc être considérés comme équipements terminaux de télécommunication.
Dans son article 3 c (exigences essentielles), la même directive pose, que la Commission peut décider que les appareils relevant de certaines catégories d'équipements ou certains types d'appareils sont construits de sorte qu'ils comportent des sauvegardes afin d'assurer la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés. La commission Européenne possède donc là un instrument juridique contraignant et directement disponible.
(62)
7.4. Assigner de nouveaux objectifs à la Sûreté de l’état
Corollairement à ce qui se passe en Amérique(63), il conviendrait que la Sûreté de l’Etat et le SRG puissent conseiller et former en matière de sécurité des télécommunications les entreprises stratégiques qui le souhaitent.
7.5. Créer un organisme national de sécurité aux télécommunications.
Pour rappel, le groupe BELINFOSEC(64) avait produit, le 11 avril 1995, un document intitulé « La sécurité des systèmes d’information, une préoccupation gouvernementale ? » qui a été communiqué au Parlement ainsi qu’aux Ministres de la Justice et de la Défense Nationale le 25 juillet 1995.
Ce document recommandait : « A l’instar des pays voisins, la Belgique devrait se doter
d’une structure centrale de Sécurité des Systèmes d’Information qui, en collaboration avec les compétences existantes dans le pays, assumerait notamment les rôles suivants :
!"réaliser les audits et l’évaluation des procédés de sécurité des systèmes
d’information dans le secteur public ;
!"déterminer les domaines d’application des procédés de cryptographie ; !"former les experts en sécurité du secteur public ;
!"faire élaborer la réglementation et veiller à son respect ;
!"favoriser le développement de la recherche et des compétences nationales dans
ce domaine ;
!"suivre les études de sécurité confiées par l’Administration à des entreprises
privées. »
Il nous semble toutefois que cette recommandation, écrite il y a cinq ans, devrait être réactualisée au regard de l’évolution rapide des télécommunications et des techniques d’écoute et, notamment, que le bénéfice d’une telle structure ne devrait pas être limité au seul secteur public
(63)
« The NSA/CSS INFOSEC mission provides leadership, products, and services to protect classified and unclassified
national security systems against exploitation from interception, unauthorized access, or related technical intelligence threats ». disponible sur http://www.nsa.gov/about_nsa/faqs_internet.html#overview.
(64)
Ce groupe informel composé de scientifiques de haut niveau et de représentants de divers secteurs d’activité ne s’est plus réuni lors que la Belgique a libéralisé l’usage de la cryptographie. De plus amples informations sur ce groupe, sa structure et son fonctionnement se trouvent dans le rapport annuel 1995 du Comité R.
Cette structure pourrait par ailleurs avoir pour fonction l’établissement et la publication de standards cryptographiques qui pourraient alors être proposés, voire imposés, dans différents secteurs d’activité (banques, hôpitaux, administrations publiques, opérateurs de télécoms, …). Cette structure pourrait également établir des standards techniques d’interceptions légales des télécommunications par les services autorisés.
7.6. Les licences individuelles dans le secteur des télécommunications
La directive 97/13/CE(65) inscrit la protection des données dans la liste des « exigences essentielles ». Elle précise dans son art. 1d) que « la protection des données peut
comprendre la protection des données personnelles, la confidentialité des informations transmises ou stockées, ainsi que la protection de la vie privée ». Il semble possible, sur base de cette directive, d’imposer la mise en place de certaines mesures de sécurité comme condition impérative à l’octroi d’une licence. Ceci est particulièrement pertinent dans le cas des opérateurs de mobilophonie, qui, selon Duncan Campbell, n’utiliseraient que 40 bits sur les 56 initialement prévus pour encrypter les télécommunications mobiles.
7.7. L’audit de la sécurité des télécommunications chez les opérateurs nationaux.
Cet audit nous semble une condition préalable à l’établissement de règles impératives à respecter en matière de cryptage des communications. Cet audit devrait être suffisamment technique pour pouvoir vérifier de manière certaine(66) et en présence d’experts la réalité ou l’absence de mesures de sécurité ainsi que leurs performances. En particulier, il y a lieu de vérifier si :
!"les centraux numérique RNIS (ISDN) diffusés en Belgique ou certains d’entre eux permettent (et si oui, dans quels conditions) l’écoute des conversations dans une pièce, à l’aide d’un poste téléphonique raccroché.
!"l’algorithme de chiffrement utilisé par les opérateurs de téléphonie mobile utilise un chiffrement à 40 bits ou à 56.
Cette phase préliminaire est indispensable à la mise en place de « bonnes » mesures de cryptage adéquates. En l’absence d’une telle étude il existe un risque important de prendre des mesures non performantes globalement, d’un coût excessif ou inhibant les écoutes légales.
(65) Directive 97/13/CE du Parlement Européen et du Conseil du 10 avril 1997 relative à un cadre commun pour les autorisations générales et les licences individuelles dans le secteur des services de télécommunications, JOCE, L117, mai 1997 (déjà cité supra 5.2.)
(66)